- Razi ogólnikowość tego projektu, blankietowość pojęć, które się w nim pojawiają. Tak naprawdę nie wiem podstawowej rzeczy – po co ma być utworzona ta nowa baza, jakie cele ma realizować? - uważa dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński, członek grupy ekspertów Komisji Europejskiej do spraw wdrożenia RODO.
/>
We wtorek opisaliśmy w DGP projekt rozporządzenia na temat megabazy, w której będzie można agregować dane ze wszystkich ważniejszych państwowych rejestrów. Napisał pan, dla Fundacji Panoptykon, opinię prawną na jego temat. Opinię mocno krytyczną. Co pana najbardziej w tym projekcie razi?
Jako osobę zawodowo zajmującą się prawem ochrony danych osobowych projekt ten razi mnie już od samej strony, nazwałbym ją, rzemieślniczej. Jest bowiem w sposób oczywisty sprzeczny z konstytucją. Wbrew orzecznictwu Trybunału Konstytucyjnego zakres danych, czyli wskazanie konkretnych rejestrów, z których dane będą mogły pochodzić, jest regulowany w rozporządzeniu. To grzech pierworodny wynikający już z ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne, która zawiera błędną delegację, czego skutek widzimy teraz w projekcie rozporządzenia.
W opublikowanym we wtorek po południu oświadczeniu KPRM przekonuje, że podstawą przetwarzania danych na potrzeby zintegrowanej platformy analitycznej jest ustawa o informatyzacji.
Jeszcze raz powtórzę – chodzi o zakres pozyskiwanych danych. Ten ma być wskazany dopiero w rozporządzeniu. A to oznacza, że zarówno ustawa o informatyzacji jest w tym zakresie niekonstytucyjna, bo niewłaściwie odsyła do aktu wykonawczego, jak i też niekonstytucyjny będzie sam akt wykonawczy, w którym nie można regulować zakresu przetwarzanych danych. Narusza to naczelną zasadę ustroju informacyjnego naszego państwa, czyli wyłączność ustawy jeśli chodzi o to, jakie dane o obywatelach władza publiczna może zbierać.
A poza tym, jak pan mówi, jest ewidentnym błędem legislacyjnym?
Razi ogólnikowość tego projektu, blankietowość pojęć, które się w nim pojawiają. Tak naprawdę nie wiem podstawowej rzeczy – po co ma być utworzona ta nowa baza, jakie cele ma realizować? Zarówno ustawa, jak i sam projekt mówią, że celem jej powstania jest wypełnianie zadań związanych z analizami wspomagającymi tworzenie kluczowych polityk publicznych. To przypomina język z komedii Barei – jest niczym badanie poziomu cukru w cukrze w zależności od natężenia promieniowania, kompletnie nic z tego sformułowania nie wynika.
Polityką publiczną może być zarówno analiza tego, jakie kierunki studiów są potrzebne w danym momencie, jak wygląda rozkład dochodów w społeczeństwie, stanu zdrowia, dzietności, jak i tysiące innych rzeczy. Już pominę, że takie określenie celu przetwarzania jest wprost sprzeczne z RODO, które wymaga, by cel przetwarzania był wskazany w sposób zrozumiały. Tymczasem ja tego po prostu nie rozumiem. Stawiam sobie pytanie: po co? – i nie jestem w stanie na nie odpowiedzieć. Nie wiem, po co jest tworzona tak potężna baza, w której będą integrowane dane z kilkudziesięciu innych baz, i nie wiem, czy do celu, który ma być osiągnięty, w ogóle są potrzebne dane osobowe, a jeśli tak, to jakie. I tu docieramy do kolejnej reguły wynikającej zarówno z konstytucji, jak i RODO, czyli niezbędności przetwarzania danych.
Jak można byłoby naprawić te błędy?
Projektodawca powinien cofnąć się o kilka kroków i zastanowić, po co są mu dane, które zamierza przetwarzać, czyli określić cel lub cele, ale w sposób konkretny. Dopiero wtedy można byłoby przystąpić do testu niezbędności. Bo przy tak ogólnie określonym celu, jaki sformułowano dzisiaj, nie da się przeprowadzić oceny: czy przetwarzanie jest niezbędne w demokratycznym państwie prawa. Konieczny jest także test zmiany celu przetwarzania danych. Jeżeli bowiem dane zebrano w jakimś celu, to nie można ich przetwarzać dalej w sposób niezgodny z celem, dla którego zostały zebrane. Weźmy więc prosty przykład: w systemie informacji medycznej gromadzone są dane do rozliczeń z NFZ, ale przede wszystkim po to, by lekarz znał moją historię chorobową, czyli dla ratowania życia i zdrowia. Jeśli te dane mają być wykorzystane do czegoś innego, to najpierw należy sprawdzić, czy jest to kompatybilne z pierwotnym celem. Taki test celowości trzeba by było przeprowadzić krok po kroku, baza po bazie.
A jeśli okaże się, że cele nie są kompatybilne? Bo chyba o to właśnie chodzi w tym całym projekcie, żeby na podstawie łączenia danych zebranych w różnych celach móc przeprowadzać szersze analizy.
Tyle że wówczas nie ma prawnych możliwości przetwarzania tych danych. Musiałyby one zostać w pełni zanonimizowane. To jest coś, o czym się zapomina, ale po to właśnie w RODO wprowadzono regulacje dotyczące „privacy by design” („prywatność w fazie projektowania”) oraz oceny skutków dla ochrony danych osobowych.
Przepisy przewidują pseudonimizację, ona nie wystarczy?
Nie, bo jest procesem odwracalnym. Dane poddane pseudonimizacji wciąż są danymi osobowymi, zmienia się tylko to, w jaki sposób oznaczono konkretnego Kowalskiego – ale to nadal jest ten konkretny Kowalski. I po połączeniu tych danych z innymi danymi wciąż możliwe jest ustalenie, o kogo chodzi, choćby po jego PESEL-u czy po identyfikatorze nadanym w miejsce PESEL-u. Pseudonimizacja nie rozwiązuje więc problemu. I nie chodzi nawet o to, że ktoś nie wierzy politykom; chodzi o samą teoretyczną możliwość. Ona musi być wyeliminowana już na poziomie przepisów, bo raz stworzona regulacja pozostanie z nami na lata.
Pseudonimizacja jest o tyle wygodniejsza, że umożliwia łatwe zestawienie wielu danych na temat jednej osoby. W ten sposób możemy ustalić, ile osób o określonym wykształceniu czy osiąganych dochodach zaszczepiło się przeciwko COVID-19, co może być przydatne dla dalszych działań rządu.
Jest to jednak możliwe także przy pełnej anonimizacji. Można posłużyć się jednokierunkową funkcją szyfrowania, która wciąż pozwoli zestawiać wiele różnych danych, ale tylko w jedną stronę. Wyniku, jaki uzyskamy, nie będzie już można przyporządkować do konkretnej osoby. Owszem, jest to pewnie nieco trudniejsze, ale nie wolno iść na skróty kosztem naszego prawa do ochrony danych osobowych. ©℗
Dane poddane pseudonimizacji wciąż są danymi osobowymi, zmienia się tylko to, w jaki sposób oznaczono konkretnego Kowalskiego – ale to nadal jest ten konkretny Kowalski
Rozmawiał Sławomir Wikariak